ネットワーク構成時の留意点

 試験が終わったので再開。
 受験申し込みもしたので本格化。
 さあこの気合いいつまで続く?w
 
 で、今回はネットワーク構成に起因する脆弱性と構成時に留意すべきコト。
 全体的に極端な例が多かった気もしないでもないが、忘れないうちに要約。
 

構成に起因する脆弱性

具体例としては以下のようなものが挙げられていた。

アクセスコントロールと論理的な境界の不整合

外部に公開するサーバと内部向けのサーバが同じセグメントに存在するなど。
外向きサーバへの不正アクセスが内向き資源にまで波及しやすい。
 

アクセス制限をしない専用線

専用線の反対側は信頼できるのか。先方から攻撃されたときに限らず、ワームや、先方へ侵入した攻撃者による被害も想定しようというオハナシ
 

社内LANのセグメント間におけるアクセス制限の不備

内部犯行に無防備。またワームの蔓延を助長する。
 

不必要に多数存在する外部接続経路

それぞれの経路毎の管理が困難になる上、リスクも出口の数だけ増える。
 

無防備な無線LAN

外まで漏れた電波など特に致命的。
 

リピータハブの多用

最近はあまりなさげ。トラフィックも増大するし盗聴リスクも高まる。
 

無防備な接続口

外部の人間が出入りできるところに置かれたハブなど。
そこからつながれたら内部犯行同様防御がとても難しい。
 

構成時の留意点

ほとんど上記の裏返し

アクセスコントロールに適合したネットワーク構成

アクセスを許可する集合(外部、内部、或いはもっと細かく部署毎など)が一致するものをセグメント毎にまとめて管理。(DMZの設置など)
 

外部との接続口の集約

ゲートウェイは一つにまとめ、そこを集中管理。など
 

無線LANの最適化

不要なアクセスポイントの除去や接続制限(wepだけはもはや危険?)など。
 

レイヤ2スイッチの採用

 詳細は後述
 

物理的な保護

ハブを床下に埋めるとか、外部の人間が出入りするところに接続口を設置しない。など